Ni es una variante de la pesca deportiva ni una medicina oriental de poderes milagrosos. Tampoco es una marca de sombreros para pescadores de silla plegable y transistor. Entonces, ¿qué es phishing? Te lo explicamos de forma fácil: es una práctica cibercriminal que quizá hayas sufrido sin saberlo. Te ayudamos a sobrevivir a un ataque.
La palabra phishing te suena vagamente porque procede del término inglés fishing, que significa pesca. Alude al abuso informático que practican los phishers, esos piratas de la red que quieren que muerdas el anzuelo para conseguir información confidencial de forma fraudulenta.
¿En qué consiste el phishing? El phisher se hace pasar por una empresa de confianza o una persona creíble mediante una comunicación oficial electrónica, en apariencia normal y corriente, en forma de email o mensaje instantáneo que te suelen redirigir a una web falsa. Su objetivo criminal es conseguir tu contraseña de Paypal, datos sobre tu tarjeta de crédito o cualquier otra información financiera o bancaria.
“El phisher se hace pasar por una empresa de confianza o una persona creíble mediante una comunicación oficial electrónica”
Por desgracia, existen muchas variantes del ataque phishing. Tantas como variantes de la pesca deportiva, si lo piensas con detenimiento. Para que estés alerta y sobrevivas a estos ataques, compartimos contigo los tipos de phishing más habituales.
Tipos de phishing
Los casos de phishing más habituales se basan en la manipulación del diseño de un email para que creas que pertenece a un banco que conoces. Por ejemplo, utilizan direcciones web manipuladas o subdominios como http://www.nombredetubanco.com/ejemplo, aunque el texto que ves no te dirige realmente a ese sitio.
Cuando haces clic, apareces en una copia fraudulenta de la web de tu banco. Aparece un mensaje que te invita a entrar en el sistema para revisar el estado de tu cuenta. Introduces tus datos en las cajas de texto correspondientes… ¡y ya te los han robado!
El llamado spear phishing es una variante dirigida de forma mucho más personal y suele estar enfocada a ataques a empresas. Un ciberdelincuente que practique esta fórmula consigue información personal sobre varios empleados. Diseña un email personalizado con nombres y apellidos, falsificando direcciones conocidas para generar empatía y confianza.
El phisher suplanta a tu jefe para conseguir esos datos de acceso que le permiten entrar en el sistema o se dedica a pedir a su víctima que realice un pago a una transferencia bancaria… Te puedes imaginar hacia qué destino. La Isla Tortuga, por lo menos, ese paraíso de los piratas.
“La regla de oro sobre cómo evitar el phishing: una entidad bancaria nunca te solicitará datos personales ni información de tu cuenta a través del correo electrónico”
Para entender bien qué es phishing ten en cuenta que es una práctica, más que un medio a través del que se lleva a cabo. Por ejemplo, existe una variante que se llama smishing, del acrónimo SMS. El ciberdelincuente se hace pasar por una empresa de confianza o por tu banco y te envía un SMS al teléfono móvil. Suele ser un texto optimista, en el que te informa de que has ganado un premio.
Acto seguido, te invita a participar en un sorteo o te ofrece alguna clase de soporte de atención al cliente. Para obtenerlo, tienes que hacer clic en un enlace, llamar a un número de teléfono o responder al SMS… Y dar tus datos de acceso, contraseña incluida.
Por si no fuera poco, existe otra práctica cibercriminal parecida al phishing bancario. Se llama pharming. Y, como imaginas, procede del término inglés farming. Agricultura o cultivo.
Diferencia entre phishing y pharming
El pharming es una forma depurada de ataque informático. Un pirata se las ingenia para instalar un virus o malware (software maligno) en el ordenador de su víctima. Por ejemplo, mediante un email parecido al de los phishers pero con un archivo descargable.
De inmediato, el virus redirige a tu ordenador desde la web que quieres visitar, como tu banco o tu tienda online favorita, hasta una copia exacta que es falsa. Introduces tus datos de acceso y… ¡hombre al agua!
Como puedes comprobar, los casos de phishing pueden ser tan creativos como los delincuentes que los diseñan y lanzan a la red. Existen muchas más variantes de las que imaginas. Pues bien, sabiendo que las aguas de internet están infestadas de piratas, es importante saber cómo prevenir el phishing.
¿Cómo evitar el phishing?
Lo primero y más importante: instala y mantén actualizado un antivirus para que en tu ordenador no se cuele ningún software maligno. Algunos programas cuentan con un sistema de protección en la red bastante eficiente que evitará los sitios web potencialmente peligrosos y te alertará de su existencia.
Frente a los clásicos correos electrónicos que definen qué es phishing, te basta con prestar atención al origen. Nunca hagas clic en un enlace sin comprobar que la persona que te envía el mensaje es real. Si es alguien que supuestamente conoces, comprueba por otro canal que el correo es legítimo. Por ejemplo, llama a tu banco o abre una pestaña nueva del navegador y escribe la dirección del banco.
La regla de oro sobre cómo evitar el phishing: una entidad bancaria nunca te solicitará datos personales ni información de tu cuenta a través del correo electrónico.
Esperamos que con esta entrada te sientas más protegido ante los ataques piratas y puedas sobrevivir en casos de phishing. No muerdas el anzuelo y, si esta información te ha sido de ayuda, siempre puedes compartirla en las redes sociales.
